数据保护通用条例
2018年5月25日起,欧盟网络数据隐私保护新规《通用数据保护条例》(GeneralDataProtectionRegulation,GDPR)将在欧盟全体成员国正式生效。这被广泛认为是欧盟有史以来最为严格的网络数据管理法规。
1、历史沿革
欧盟2018年5月25日将生效的《通用数据保护条例》是对其1995年《数据保护指令》的修订、拓宽和升级。
通用数据保护条例
《数据保护指令》为当时欧洲国家立法保护个人数据设立了最低标准。随着互联网行业的迅猛发展和用户数据的爆发式增长,欧盟在2012年提出改革数据保护法规,旨在帮助民众进一步保护个人信息,帮助企业利用“单一数字市场”带来的机遇。2015年6月,欧盟成员国的司法及内政事务部长会议就五项原则达成一致,而这些原则也构成了新规的重要框架:
“同一个大陆,同一套法规”,即在欧盟范围内建立起一套法规;
“强化‘被遗忘权’”,即如果无必要的法律依据,用户可以要求互联网企业从网络搜索结果中移除个人信息;
“欧洲境内适用欧洲法律”,即设在欧盟以外的企业如果要在欧盟范围内提供服务,也需要遵守欧盟法律;
“强化各国数据保护机构权力”,并允许各成员国的数据保护机构对违法者处以高额罚金;
“一站式服务”,即企业和用户都只需与一个国家的监管机构打交道。
欧盟《通用数据保护条例》是一个具有里程碑意义的法案。它不仅规定了数据应被如何处理、保存、使用和交换,还意图在当下公司普遍收集用户数据的情况下,让消费者拥有对自己个人数据的控制权。
2016年4月,欧洲《通用数据保护条例》获得通过,2018年5月25日正式生效,通过和生效之间,有两年的适应期,让企业进行调整,以符合《通用数据保护条例》要求。
值得注意的是,该法案虽然由欧盟设立,但它不仅适用于欧盟本土公司,而是拥有域外效力。对欧盟以外的公司,只要它们向欧盟提供商品或服务、追踪欧盟民众的行为,都必须受到该法案的监管。
2、内容释疑
欧盟《通用数据保护条例》(GeneralDataProtectionRegulation,GDPR,以下简称《条例》)将在2018年5月25日正式生效。考虑《条例》所作出的一系列的重大制度改革,2年过渡期并不是那么宽裕。为踏上数字时代新秩序的起跑线,全球企业都在积极准备。合规不仅因为高昂的处罚而攸关企业生死线,更决定了如何合法地应用新技术、业务创新来获取基于个人数据的巨大价值。
通用数据保护条例
《通用数据保护条例》之所以被称为“史上最严”,主要体现在一方面它设定了天价罚款,至少1000万欧元或企业上一财年全球营业总额的2%—4%,并以较高者为准。另一方面,它赋予了数据主体广泛的数据权利和*,同时明确了数据控制者和处理者保护数据权益的法定义务。
1995年《个人数据保护指令》(以下简称《指令》)的适用范围取决于属地因素,要么机构的成立地在欧盟,要么利用了欧盟境内的设备进行了个人数据的处理活动(仅仅是传输通道除外)。《条例》不仅考虑属地因素,还增加了属人因素,总体来说有以下几点。
对于成立地在欧盟的机构来说,法律的适用范围并没有发生大的变化,但强调了无论数据处理的活动是否发生在欧盟境内,都统一遵循条例。
对于成立地在欧盟以外的机构来说,则适用属人因素。只要其在提*品或者服务的过程中(不论是否收费)处理了欧盟境内个体的个人数据,将同样适用于《条例》。
任何网站甚至手机软件(APP)只要能够被欧盟境内的个人所访问和使用,产品或服务使用的语言是英语或者特定的欧盟成员国语言、产品标识的价格为欧元,都可以被理解为该产品、服务的目标用户包括欧盟境内用户,从而需要适用《条例》。这也是缘何《条例》在全球引起极大震动的核心原因之一。不论是银行、保险、航空等传统行业,还是电子商务、社交网络等新兴领域,只要涉及向欧盟境内个人提供服务并处理个人数据,都将落入《条例》适用范围,除非放弃欧盟5亿发达人口市场!
统一的法律规则,但仍有例外
此次立法主旨之一是结束1995年《指令》以来各成员国之间的数据保护法律制度差异问题,条例的统一规定将直接适用于各成员国。但值得注意的是,《条例》仍然为各成员国预留了一定自主空间,例如:
1.《条例》对于儿童个人数据做出了特殊保护规定,但允许成员国对于儿童的年龄标准在13-16岁之间做出调整(第8条)。
2.在处罚方面,《条例》规定了实施行政罚款的一般性条件,但同时也授权成员国规定其他处罚类型的规则,这些处罚可以适用于违反了条例但并不符合行政罚款条件的违法行为(第84条)。
3.数据保护官的设立,除了《条例》规定的必须设立数据保护官的情形,还授权成员国可以扩展必须设立数据保护官的其他情形(第37条)。
4.成员国可以在未来针对基因、生物识别以及健康数据的保护做进一步规定。(第9条)。
5.成员国可以依据条例的基本原则,针对雇佣领域的数据保护,做出进一步的规定(第88条)。
除以上列举之外,此类授权成员国可作出进一步具体规定的条款在《条例》中还有很多。因此,尽管统一的《条例》为企业大大降低了合规的复杂性,但仍需注意到统一之外的差异性。
一站式监管
对于向欧盟不同国家提供业务的企业或者在不同国家都有设立地的企业来说,《条例》会极大减轻合规成本。企业不再需要与多个不同成员国的数据监管机构打交道,企业主成立地所在国家的监管机构将作为主导监管机构对企业的所有数据活动负有监管权力,其效力辐射于全欧境内。
当然,为保证监管的协调统一性,《条例》为此精心设计了一套复杂的咨询机制。主导监管机构的监管决定要最大程度上反映其他成员国监管机构的意见。如果不能达成一致意见,则交由欧盟数据保护委员会来处理(第56、60、61条等)。
处理数据须有合法理由
处理个人数据必须要有合法理由,包括数据主体的同意、为了履行合同需要、履行法定义务的需要以及数据控制者的合法利益等。
1.关于同意的认定标准更加严格。同意必须是具体的、清晰的,是用户在充分知情的前提下*做出的。如果数据控制者希望获得的同意的事项区别于此前已取得同意的事项范围,则需要向用户做出单独明确的说明;如果将同意数据处理作为签订合同的前提条件,而这种数据处理事实上超出了提供服务所必需,将违反有关“同意应当是*做出”的规定(第7条)。
在这种高标准下,虽然《条例》并没有明确禁止“默示同意”模式(敏感数据处理、数据画像活动例外),但在实践中通过推定方式获得用户同意将很难被认为是有效合法的。也就是说,当前实践中普遍存在的通过冗长晦涩的隐私政策来获取用户同意,或者让用户在签订业务协议时通过“打钩”方式作出一揽子授权的方式将失去合法性。业界普遍认为,《条例》关于有效合法同意的严格规定,使得用户的同意不会像现在这样被轻易获得。
更重要的是,《条例》赋予了数据主体可以随时撤回同意的权利。数据控制者应当明确告知用户现有该权利,并为用户方便的行使该权利提供便利。
在处理儿童个人数据时,必须获得其父母或者其他监护人的同意。并且该举证责任在于数据控制者,数据控制者必须能够证明其从监护人那里获得了同意(第8条)。
2.关于敏感数据的处理。敏感的个人数据包括能够揭示个人的种族、政治倾向、宗教和哲学信仰、商业团体资格、以及关于个人健康或者性生活的数据,在敏感数据类型中,条例还明确加入了基因数据和生物数据,这类数据的处理能够唯一的识别出特定个人。(第9条)
敏感个人数据的特殊性在于,作为一般法则,禁止处理敏感数据,除非特定的例外条件能够满足。这些例外条件包括数据主体的同意,或者数据主体已经将上述信息公开;为了建立、履行或者保护合法的诉求必须处理上述敏感信息;为了公共利益的需要,或者与公共利益相关的归档、科学、历史或者统计目的之用。但总体的原则是,这些对于敏感数据处理的例外情况的解释将会非常狭窄。
3.关于数据控制者的合法利益。《指令》和《条例》都规定除了获得同意以外的其他的数据处理的合法理由,其中包括符合数据控制者的合法利益。数据控制者可以以营销为目的使用用户个人数据,但用户随时可以提出反对,数据控制者必须立即停止使用。除此之外,将数据控制者的合法利益作为数据处理的合法理由的情形在实践中非常有限。数据控制者必须能够证明,其合法的利益显著高于数据主体的个*利和*。(第6条)
坚实强大的数据主体权利
相比于《指令》,《条例》对数据主体的权利规定细致入微,为个人有效行使权利提供了坚实的法律保障。
1.知情权。《条例》规定数据控制者必须以清楚简单明了的方式向个人说明其个人数据是如何被收集处理的。可以想见的是,当前企业普遍应用的隐私政策必须进行大幅改革,才能满足合规要求。
2.访问权。数据控制者应当为用户实现该权利提供相应的流程,如果该请求是以电子形式提出的,则也应当以电子形式将数据提供给个人。控制者不能基于提供该服务而收费,除非数据主体的请求明显过量,超过负担(第15条)。
3.反对权。对于两种情形,数据主体享有绝对的拒绝权:始终有权随时拒绝数据控制者基于其合法利益处理个人数据,始终有权拒绝基于个人数据的市场营销应为。条例还引入了限制处理的权利,例如当数据主体提出投诉时(例如针对数据的准确性),数据主体并不要求删除该数据,但可以限制数据控制者不再对该数据继续处理(第21条)。
除了以上权利之外,《条例》还全面引入了新型的权利类型,其中最引入注目的是“数据可携权”,(第20条)、“被遗忘权”(第17条)。
“个人数据可携权”,是指用户可以无障碍的将其个人数据从一个信息服务提供者处转移至另一个信息服务提供者。例如脸书的用户可以将其帐号中的照片以及其他资料转移至其他社交网络服务提供商。当然,该权利不仅适用于社交网络服务,还包括云计算、网络服务以及手机应用等自动数据处理系统。信息控制者不仅无权干涉信息主体的此项权利,还需要配合用户提供数据文本。从目前第20条规范看,数据可携权适用于数据主体提供给数据控制者的数据,因此个人的网络行为轨迹是否属于该范畴,还有待于欧盟数据保护委员会做出解释。
“被遗忘权”,《条例》第17条删除权共计三款。其中第1款的核心仍然是传统个人信息保护法中已经确立的删除权:当用户依法撤回同意或者数据控制者不再有合法理由继续处理数据时,用户有权要求删除数据。关于“被遗忘”的精神更多体现在第17条第2款:如果数据控制者将符合第1款条件的个人数据进行了公开传播,他应该采取所有合理的方式予以删除(包括采取可用的技术手段和投入合理成本),数据控制者有责任通知处理此数据的其他数据控制者,删除关于数据主体所主张的个人数据链接、复制件。也就是说,数据控制者不仅要删除自己所控制的数据,还要求数据控制者负责对其公开传播的数据,要通知其他第三方停止利用、删除。这是对传统“删除权”的扩张。
总体看,《条例》对于数据主体权利的补充完善,不仅极大增强了数据主体对于个人数据的控制能力,也将对企业如何保障实现数据主体的权利提出了具体的要求,对企业的制度建设,措施配置、业务流程乃至信息技术系统设计产生直接影响。
数据控制者的问责机制
条例大大简化了企业日常的合规负担,特别是废除了目前各成员国关于数据处理及*转移的许可或者备案程序,但是取而代之的是要求企业在内部建立完善的问责机制,以实现《条例》规定的真正落地。特别是,条例旨在对个人数据处理中的个*利和*提供充分的尊重和保障,因此,对于数据控制者和处理者的约束规范十分严格。
1.数据保护官(DataProtectionOfficer,DPO)。对于设立地在欧盟的机构来说,以下是必须设立数据保护官的法定情形:*部门及公共机构作为数据控制者的;机构核心业务涉及以下大规模活动:日常的以及系统性的监控数据主体;处理特殊类型的个人数据,或者数据处理活动与刑事定罪相关。数据保护官的联系方式必须予以公布,且向监管机构报备。
2.文档化管理(Documentation)。数据控制者必须全面记载其数据处理活动,做到一举一动都有据可查。包括数据处理的目的、数据的类型、数据接收者的类别以及转移至第三国的数据接收者、数据保存的时间、采取的安全保障措施等等,保留有与数据处理者的合同附件。文档化管理不仅是企业内部的管理措施,而且是数据保护监管机构履行职责的重要抓手。(第30条)
3.数据保护影响评估(DataProtectionImpactAssessments)。对于高风险的数据处理活动,要事先进行数据保护影响评估。条例并没有对高风险进行界定,但以下情形,应当事前评估:对个人特征的系统性评价,该评价会对数据主体产生法律上的影响;对大量敏感数据的处理;以及对公共领域大规模的系统性监控(第35条)。
4.事先协商(PriorConsultation)。如果数据保护影响评估的结果显示是高风险,且数据控制者没有有效降低风险的措施,数据控制者应当就数据处理活动向相关的数据保护监管机构进行事先协商。监管机构应当在收到协商申请的特定期限内提出处理意见,并可以采取纠正措施。除了之外,成员国在制定涉及到数据保护的立法时,也应当事前征求数据保护监管机构的意见。(第36条)。
5.数据泄露报告(DataBreachNotification)。条例将数据泄露定义为导致偶然的或者非法的数据破坏、损失、改变、非授权的披露等(第4(12)条)。一旦发生数据泄露事故,数据控制者需要及时通知监管机构,如果可行,应不超过72小时,除非该泄露不可能会造成对个*利和*的破坏风险,若未在72小时内报告监管机构,则后续报告应当说明迟延报告的理由。对于数据处理者而言,其应当在意识泄露事故及风险后及时报告数据控制者。(第33条)。
数据泄露报告中至少应当包含以下内容:关于数据泄露事故的描述、涉及的数据主体的总量、类型以及数据记录的总量;企业数据保护官的姓名和联系方式,泄露可能造成的结果,企业已经采取的止损措施。数据控制者应当将所有的数据泄露事故予以文档化,以便监管机构能够检查其合规工作(第33条)。
如果数据控制者采取了适当的保护措施,特别是采取的措施能够使得数据难以被一般人所理解,比如加密,或者其后续采取的措施能够使得威胁不会成为实际的结果。则数据控制者可以不必履行数据泄露报告义务,但这些证明责任都在数据控制者。当然,数据监管机构可以否决数据控制者做出的风险判断,强制要求做出通知。(第34条)
依照《条例》规定,强制性的数据泄露报告是没有门槛的,因此企业应当为此建立周密的制度安排,包括数据安全管理流程、泄露事故发现、上报预案等,以符合《条例》的严格要求。
6.安全保障措施(SecurityofProcessing)。《条例》对于安全保障措施给与了更具体的规定,特别强调了以下措施:对个人数据的匿名化和假名化;确保提供持久的机密性、完整性、可用性和系统可恢复性的能力;在物理或者技术事故下及时回复数据可用性、可访问性的能力;建立定期测试、评估、评价技术和管理措施是否有效的体系(第32条)。
关于其中对于个人数据匿名和假名有所区别,假名数据是指在缺乏其他信息的前提下(且该信息被独立存储)不再能指向特定的个人的数据。依据《条例》,假名数据仍然属于个人数据,因此适用于对于个人数据的安全保障要求。而匿名数据是指已经完全移除了个人可识别信息之后的数据,该数据不能够再识别出特定个人。匿名数据不再属于个人数据,不受《条例》规范。
数据处理者的问责机制
对于数据处理者而言,《条例》带来了重大变化。《指令》主要适用于数据控制者,数据处理者主要通过合同的方式承担数据保护责任。然而《条例》对于数据控制者、数据处理者在大数情况下提出了相同的要求,例如数据处理者也承担对数据的安全保障义务,在管理措施、技术上采取必要的措施,包括指定数据保护官,在发生数据泄露事故时,应及时报告数据控制者等。
此外,《条例》还细致规定了数据控制者和数据处理者之间的合同应当至少包含哪些内容,例如数据处理的目的,期限,个人数据的类型,数据主体的类别以及双方的权利业务。
数据处理者仅能按照数据控制者书面的要求处理数据,必须确保其员工能够遵守有关保密的要求;在数据安全、数据泄露、数据保护影响评估等方面对数据控制者提供协助。
如果没有数据控制者的同意,数据处理者不得二次分包业务;数据控制者可以对分包采取概括性授权,但如果具体的分包商发生了变化,数据处理者有义务及时告知数据控制者,后者有权提出反对。数据处理者对其分包商的数据处理活动完全负责,其有义务将数据保护的要求施加给二级分包商。
在数据处理服务终止时,数据处理者应当删除或者将数据全部返还给数据控制者,除非根据法律的要求必须保留这些数据
数据处理者的违规行为同样将受到条例规定的严格处罚,数据监管机构所扩展的监管权力也同时及于数据处理者,包括进入数据控制者的工作场所,发布警告,发布数据处理禁令等。用户个人也有权直接从数据处理者处主张赔偿,当然如果是因为数据控制者的错误指令,则数据处理者可以再行向数据控制者索赔。(第28条)
《条例》中对数据处理者构建的一系列规范要求,将对当前的云计算生态体系带来重大影响。按照《条例》,数据控制者和数据处理者之间的合同在很多情形下需要重新谈判达成。特别是由于条例对于数据处理者大大增加了合规风险,二者合同中关于安全保障措施、风险管理以及服务的价格都会受到影响。
完善跨境数据流动机制
关于跨境数据流动的限制是在《指令》中提出的,欧盟公民的个人数据不得转移至不能达到与欧盟同等保护水平的国家,除非满足特定条件。在实践中,部分成员国针对跨境数据流动进一步增加了事前的备案或者许可要求。《条例》明确禁止了这种增设许可的做法,只要符合了条例中跨境数据流动的条件,则成员国不得再予以限制。
《条例》关于跨境数据流动的合法路径如下:
1.充分性决定(AdequateDecision)。相比于《指令》,欧盟委员会除了对国家可以作出评估外,还可以对一国内的特定地区、行业领域以及国际组织的保护水平作出评估判断,这进一步增加了通过“充分性”决定的灵活性。毕竟自《指令》实施以来,通过充分性决定的国家还不超过10个。
2.有约束力公司规则(BindingCorporateRules,BCR)。有约束的公司规则最早由欧盟第29条工作组发展而来,初衷是让跨国公司或者公司集团能够在公司内部进行跨境的数据转移,是欧盟委员会提出的标准化格式合同的一个替代选择。《条例》对该规则给与了正式的法律地位,并详细规定了该规则获得认可的程序和内容标准(第47条)。
3.标准合同条款(StandardContractualClauses)。目前欧委会通过的三个格式合同条款仍然有效。《条例》增加了成员国数据监管机构可以指定标准合同条款的渠道,但必须要经过欧委会的认可(第63条);
4.经批准的行为准则(codesofconduct):数据控制者可以成立协会并提出遵守《条例》的详细行为准则。这种情形主要针对不适用于《条例》但从欧盟接收数据的主体。(第46条)
5.经批准的认证机制、封印或者标识(approvedcertificationme-chanism,sealormark)。此类情形主要适用于公共机构之间的数据转移活动。行为准则与认证机制是条例中引入的新型的合规机制,以最大化发挥第三方监督与市场自律作用。
对数据画像活动的特别规制
根据《条例》界定,“数据画像”(profiling)概念外延广泛,它是指任何通过自动化方式处理个人数据的活动,该活动服务于评估个人的特定方面,或者专门分析及预测个人的特定方面,包括工作表现,经济状况、位置、健康状况、个人偏好,可信赖度或者行为表现等。这一概念被普遍认为能够覆盖目前大多数利用个人数据的大数据分析活动。例如对个人偏好的分析,可涵盖市场中最普遍的大数据分析市场营销活动。
画像活动如果对用户个人产生法律上的影响或者其他重大影响,仅仅在符合以下条件之一时才是合法的:1.数据主体明确的同意;2.欧盟或者成员国法的明确授权;3.是数据主体和数据控制者之间签订、执行合同所必需。(第22条)
考虑到2、3仅仅是个别特殊情形,因此,实践中绝大部分的数据画像的合法基础将建立在用户明确同意基础之上。而根据条例对于“同意”的高标准要求,业内专家认为,获得用户在数据画像方面的同意将是难以操作的,这将对大数据背景下的分析营销活动带来极大的负面影响。
在数据画像活动中,获得用户合法有效的同意,首先应当向数据主体全面介绍数据画像处理活动是怎么进行的,收集了用户的那些数据,算法的基本原理是什么,评估结果是否会对用户产生法律上的影响。其次,应当明确告知用户其享有对画像的反对权。此类信息应当明确无误地表达,并足够引起用户注意的范式,独立于其他信息。
此外,基于个人敏感数据的数据画像活动是被禁止的,除非数据主体出于一个或者多个特定的目的给与了明确的同意,但是成员国可以通过立法明确规定即使在用户同意的情况下,也禁止基于敏感数据的画像活动;或者该数据画像活动对于重大的公共利益是必须的。
因此,对于依赖于数据画像(包括利用存储在用户本地终端上的数据等跟踪工具开展精准营销)的企业来说,如何设计一套有效的机制,既能够符合《条例》有关透明性和用户同意的要求,同时也能使得数据分析活动得以继续,是摆在面前的一道难题。
监管权力、处罚与司法救济
1.《条例》大大增强了监管机构的执法权,包括:通知数据控制者、处理者相关违反行为;要求违法者提供相关信息,或者向监管机构提供访问此类信息的接口;现场调查、审计;命令修改、删除或者销毁个人数据;可以采取临时性的或者限定性的数据处理禁令;课以罚金。(第58条)
2.《条例》规定了严苛的罚金,分为两档:(1)处以1千万欧元或者上一年度全球营收的2%,两者取其高。针对的违法行为包括:没有实施充分的IT安全保障措施,或者没有提供全面的透明的隐私政策,没有签订书面的数据处理协议等;(2)处以2千万欧元或者企业上一年度全球营业收入的4%,两者取其高。此类处罚针对的违法行为包括:无法说明如何获得了用户的同意,违反数据处理的一般性原则,侵害数据主体的合法权利,以及拒绝服从监管机构的执法命令等。(第83条)
3.司法救济。对于不服监管机构作出的决定或者对监管机构的不作为,主体可寻求司法救济。数据主体也可以通过司法途径向数据控制者、数据处理者主张因其违反条例而致使数据主体遭受物质上或者非物质上的损害。如果一个以上的数据控制者、处理者涉及侵权,则共同承担连带责任,除非其能证明其对损害的产生没有责任。上述司法救济的权利可以由消费者机构代表数据主体行使(第26、80、82条)。
从《指令》的34个简单条文扩展到99条(263页)的详细规范,欧盟《条例》带来了全面制度改革,其核心目标是将个人数据保护深度嵌入组织运营,真正将抽象的保护理论转化为实实在在的行为实践。对于企业而言,小至隐私政策、业务流程,大到信息技术系统、战略布局,无一不需要重新审视规划。从当下着手的准备工作,决定了企业能否有底气在两年之后站立在数字时代新的起跑线上。
3、主要问题
(1)获取用户同意的细节要求:同意后必须容易撤回
通用数据保护条例
按照《通用数据保护条例》要求,公司必须向它们的欧洲消费者具体说明,在何种允许下,公司持有哪些用户的个人身份数据,如何使用这些数据,并获取用户的同意。获取个人信息的同意请求必须清晰、容易找到。
值得注意的是,获取用户同意时,默认选项必须是保护隐私的选项(PrivacybyDesign),用户已经提交了的同意请求也必须容易撤回。此外,对于16岁以下少年儿童,监护人要代表他做出数据收集的授权。
(2)企业持有和删除、转移数据的要求:用户可以要求公司清楚个人数据
除了对征得用户同意做出细致规定,《通用数据保护条例》对企业如何持有数据,也做出了具体规定。其中数据的“被遗忘权”和“可转移权”是当下企业较难做到的,即用户可以要求公司清除其个人数据,并禁止第三方获取这些数据;用户也可以带着他们的数据转移去不同的服务提供商。
(3)数据保护范围扩大:政治倾向被列为敏感数据
《通用数据保护条例》扩大了数据的保护范围,对个人敏感数据做出定义:新规适用于个人数据,包括姓名,电话号码,位置信息,在线身份信息;以及个人敏感数据,包括:种族、性别及性取向、政治倾向、宗教信仰、生物数据、医疗状况、犯罪记录。
(4)发生信息泄露需72小时之内通知
如果发生了高危信息安全泄露,公司必须在事故发生72小时内通知权威机构及受影响的个人。
(5)任命数据安全官
符合相应要求的公司,包括大规模监控的公司、处理与犯罪信息有关数据的公司等,必须雇佣或任命从事数据保护的管理人员。
(6)罚款2000万欧元起,可能高达公司年度营业额4%
如果违反欧洲《通用数据保护条例》,公司可被判处其全球年度营业额4%或2000万欧元的罚款,选择二者中较高的数值判罚。对跨国科技巨头来说,年度营业额的4%的罚款额非常巨大。2017财年Facebook营收为406.53亿美元,4%即为16.3亿美元。
4、企业影响
新的数据保护条例几乎涉及所有的公司,大到跨国公司,小到家庭企业,只要公司有收集和使用个人数据的行为。需要值得注意的是,不仅仅是欧盟企业要遵守《条例》,凡是进入欧盟市场的域外企业,同样需要满足《条例》的监管。
通用数据保护条例
大型科技公司往往跨国运营,业务遍及全球。因此,谷歌、Facebook、腾讯、阿里巴巴等在欧洲运营的大型跨国科技公司,均必须让自己在当地业务运营符合欧洲《通用数据保护条例》的要求。除科技公司之外,《通用数据保护条例》适用于所有类型的公司,LaFrance和詹智鹰介绍,某些具体的行业立法对特定行业提出了补充要求,比如,电子隐私权(e-Privacy)法规适用于通信运营商。
(1)企业需对其供应链负责
欧洲《通用数据保护条例》要求,如果某个欧盟境内运营的公司会将欧盟的数据传输到欧盟*的公司,那么这些欧盟*公司需要有合同或类似的具有约束力的保障措施制约。
这意味着企业将个人数据外包处理时,必须对供应链负责,并且只有在适当的(充分定义的)有合同或其他法律约束力保障措施的情况下,才能处理或转移欧盟的个人数据。因此,企业内部和供应商管理的流程也要进行相应的变更。修改供应商协议以纳入强制性合同保障成为了大多数公司的一个主要任务。
(2)企业须在欧盟指定一名代表接受相应投诉
另一个重大挑战是,企业必须制定必要的程序,在30天之内能够回应数据主体(包括欧盟员工、消费者、商业联系人)要求行使《条例》中新增强的个*力的要求。这些权利包括,有权访问个人数据、纠正不正确的数据、删除数据(受某些特定条件限制)、反对直接营销、反对自动化决策和分析,或基于数据控制者的合法利益进行数据处理等。
不设立在欧盟、但属于被《条例》域外规定监管范围的中国公司,必须在欧盟指定一名代表,接受数据主体和数据保护监管机构的投诉。
(3)生效日是企业调整的开始
《通用数据保护条例》正式生效前,公司已经有了两年适应期让自己符合要求。如果公司认为它们的商业模式无法达到《条例》的要求,它们可能需要考虑退出欧洲市场。但如果它们能够调整商业模式以适应《条例》,则需要迅速采取行动进行差距评估,并落实最低合规性所需要的一系列措施。
《通用数据保护条例》的生效日是这个过程的开始,而不是结束。即使在欧洲,也很少有公司能说自己2018年5月25日起能够100%完全合规。《通用数据保护条例》要求的最大罚款额非常高,但除了罚款之外,监管部门也能够采取一系列其他措施,即使企业达到要求的时间有所延迟,真诚的努力也必须考虑在内。
5、中国法规
在中国,《全国人民代表大会常务委员会关于加强网络信息保护的决定》于2012年12月发布并生效,《*网络安全法》于2017年6月1日生效,以上两种法规均包含对数据隐私保护的要求。2018年1月24日,《信息安全技术个人信息安全规范》全文在国家标准全文公开系统上线,2018年5月1日正式实施。该规范属于推荐性国家标准,对个人信息的收集、保存、使用、转让等环节进行了规定。
上一篇:国家励志奖学金申请书
下一篇:2020国家励志奖学金范文